Hacking-Team, RCS, Qatif Today und Lawful Interception Malware

22473494_sIst Malware immer noch Malware, wenn Justizbehörden sie zur Verfolgung von Straftätern nutzen? Was, wenn Regierungsbehörden damit die Computer ihrer Bürger überwachen und Ausschau halten nach politischen Dissidenten? Handelt es sich um Malware, wenn sie von einer seriösen Softwareentwicklungsfirma verkauft und ausschließlich zur gesetzeskonformen Überwachung angeboten wird? Was, wenn es aktuell keine eindeutigen rechtlichen Richtlininen dazu gibt, was gesetzeskonforme Überwachung ist?

Neueste Studien des Citizen Lab der Universität Toronto werfen all diese Fragen auf und lassen erkennen, dass aktuelle Technologie zur Überwachung des Internets viel umfassender, erschwinglicher und benutzerfreundlicher ist, als es sich jeder Big-Brother-fürchtige Netzbürger jemals hätte erträumen lassen.

Sie nennen sich „The Hacking Team“

Und sie verfügen auch über eine Website. The Hacking Team ist eine seriöse Softwareentwicklungsfirma mit Sitz in Italien, die ein Produkt namens RCS entwickelt, und in Vollform Remote Control System heißt. RCS ist eine vollständiges Kit zur Überwachung von Computern und mobilen Geräten, mit Hilfe dessen Geräte infiziert, gesteuert, überwacht und Daten extrahiert werden können. Wie kann so etwas legal sein? Nun, zum einen ist es weitgehend legal, da es (zumindest im Handelssektor) bisher nichts Vergleichbares gegeben hat – und ebenso weil The Hacking Team strikte Grundsätze für seine Nutzer verfolgt:

Wir verweigern unseren Dienst oder den Einsatz unserer Technologien gegenüber Regierungen oder Regierungsbehörden, die:

Aber – und hierbei handelt es sich um ein großes Aber – haben Untersuchungen von Akademikern im Citizen Lab ergeben, dass die Technologie von The Hacking Team möglicherweise von der saudiarabischen Regierung zur Überwachung und Unterdrückung politischer Aktivisten verwendet wird, die sich sozialer Medien zum Ausdruck ihres Missmuts bedienen. Natürlich kann keinerlei Beweis dafür erbrachtwerden, da eine der herausragendsten Fähigkeiten von RCS darin besteht, mittels eines Löschmoduls Nutzern zu erlauben, die Anwendung von einem infizierten Gerät restlos zu entfernen – mehr dazu später. Aber der von Citizen Lab vorgelegte Beweis ist nicht zu leugnen, und selbst wenn es sich lediglich um ein Indiz handelt, so wirft dies jedoch wichtige Fragen auf, welche man sich im Zusammenhang mit der Sicherheit des Internets in Zukunft stellen muss.

Eine neue News-App namens „Qatif Today“

Saudiarabien befindet sich bereits lange im Fadenkreuz von Menschenrechtsaktivisten. Lange Rede, kurzer Sinn: sie sind bekannt dafür, den Internzugang und die Nutzung desselben durch ihre Bürger zu steuern. Da den meisten Menschen ihre Freiheit am Herzen liegt, hat diese Kontrolle, zusammen mit zahlreichen anderen Ungerechtigkeiten, die Citizen Lab in Teil 1 seines jüngsten Beitrags darlegt, zu einer ordentlichen Verstimmung unter den Bürgern Saudiarabiens geführt. Ironischerweise hat genau dies ebenso das Internet zu dem Platz für Dissidenten gemacht; denn in vielen Ländern mit eingeschränkter Meinungsfreiheit sind Proteste auf offener Straße eine sichere Garantie, von den Sicherheitskräften mit Wasserwerfern attakiert oder gar erschossen zu werden. Im Zuge dieser jüngsten Entwicklungen fand Citizen Lab heraus, dass jemand eine News-App namens „Qatif Today“ in einem Drittanbieter-App-Store und in einem Twitter-Post veröffentlicht hatte.

Nachforschungen haben ergeben, dass es sich hierbei nicht um eine mobile App handelte, die Nachrichten im Zusammenhang mit der östlichen Provinz Saudiarabiens bereitstellt, sondern dass Qatif Today in Wahrheit ein Trojaner ist, der Technologien verwendet, die denen von RCS von The Hacking Team verblüffend ähneln. Interessanterweise gibt es daneben eine echte Qatif Today-App. Was die Entscheidung der Saudis bei der Wahl des Trojaners angeht, so ist für die Provinz Qatif bemerkenswert, dass sie eine lange Geschichte aktiver Proteste gegen die saudiarabische Regierung hat. Diese Proteste dauern noch heute fort, und trotz der Beschränkungen der Internetnutzung durch die Regierung stellen saudiarabische Internetjournalisten einen großen Teil der Protestanten dar – und saudiarabische Internetjournalisten sind genau diejenigen, die eine News-App namens „Qatif Today“herunterladen. Bisher ist noch nichts bewiesen, aber die genaue Analyse der Malware durch Citizen Lab kommt einer Anschuldigung schon sehr nahe. Man sagt natürlich nicht geradeheraus, dass The Hacking Team RCS im vollen Bewusstsein dessen, dass sie Software missbraucht werden würde, an die saudiarabische Regierung verkauft habe. Dennoch gibt es deutliche Hinweise darauf, dass RCS in die Hände der besagten Regierung geraten ist – und dass daher strengere Auflagen auf RCS und derartige Software das Gebot der Stunde sind. Citizen Lab besaß ebenso die Güte, uns zu zeigen, wie angsteinflößend und leistungsstark diese Art von RCS ist.

Malware-Überwachung stets zu Diensten

Wiederum raten wir Ihnen, sich eine Stunde am Tag für eine genaue Lektüre des offiziellen Artikels zu nehmen. Auf dem Blog von Citizen Lab finden Sie einige gut recherchierte Werke von Journalisten und Malware-Analysen. Ein wichtiger Hinweis jedoch: Es gibt keine unumstößlichen Beweise dafür, dass Citizen Lab wirklich RCS untersucht hat. Bei ihrem Fund handelte es sich um Malware, die RCS verblüffend ähnelte, was aus früheren Analysen und Untersuchungen zu schließen war. Nichtsdestoweniger sind die Fähigkeiten dieser Malware angsteinflößend. Im Folgenden finden Sie eine Liste von Wegen, auf denen ein Techniker – eine der zuweisbaren privilegienbasierten Rollen des Malware-Kits – ein Installationsprogramm zusammenbauen kann:

Sobald eine Infektion erfolgt ist, kann eine Person mit Analysten-Privilegien oder Administratorrechten das infizierte Gerät analysieren oder zu den folgenden Aktionen anweisen:

Darüber hinaus, und das ist am angsteinflößendsten, fand man heraus, dass dieser Trojaner Qatif Today – eine Malware, bei der es sich um die legitime proprietäre Software RCS handeln könnte, die an Regierungen weltweit verkauft wird, – über folgende Fähigkeiten verfügt:

Malware zu gesetzeskonformen Überwachung

Bevor irgend jemand jetzt mit dem Finger auf The Hacking Team zeigt, gibt es noch ein wichtiges Gegenargument zu bedenken. Dieses wird von den Medien der Post-Snowden-Ära oftmals übergangen, die sich mit Vorliebe auf alles in der digitalen Welt stürzen, was sich noch bewegt. Dieses Gegenargument heißt: Gesetzeskonforme Überwachung. Wie die meisten im Entstehen begriffenen gesetzlichen Konzepte, steht auch bei gesetzeskonformer Überwachung immer noch zur Debatte, wie sich der Begriff eigentlich definiert. Im Grunde bedeutet es, dass Justizbehörden, die Straftäter verfolgen, das Recht erhalten sollen, Technologie wie RCS zum Einsatz zu bringen. Auf den ersten Blick sieht diese Definition auf dem Papier ausreichend aus, aber Gesetze in einer und für eine Welt mit ins Unendliche gehenden Verbindungen sind niemals derart einfach.

All dies sind wichtige Fragen – und die Antworten darauf haben bedeutende Auswirkungen auf die Zukunft des Internets. Da sie komplex sind, handelt es sich hierbei auch um Antworten, die den Umfang eines Blogposts von bereits über 1.400 Wörtern bei weitem überschreiten. Aber aus diesem Grunde haben Blogs Kommentare. Genau hier steckt die Motivation für uns als Unternehmen in unserem Schaffen. Nämlich: Menschen durch die Entwicklung von Anti-Malware-Lösungen vor Malware schützen – wer auch immer dahinter steckt und wer auch immer sie einsetzt.

 

Wir wünschen Ihnen schönen einen Tag (Sie wissen schon, ohne was…)!

 

Senan Conrad

Weitere Artikel